samba4 AD и Win2003 AD

2

2

Приветствую!

Есть 2 сервера, условно назовём их DC1 (win2003), DC2 (Samba 4.6.16).
DC1 - 100 лет в обед, поэтому был поднять DC2 как резервный с последующей передачей ему хозяйских прав.
samba-tool domain join - прошёл успешно.
samba-tool drs showrepl - всё пучком.
kinit - билет получен.
Создаю пользователя на DC1, на DC2 он виден.
Создаю пользователя на DC2, на DC1 - фигу, не виден.
samba-tool ldapcmp - разницу показывает, честно говорит, что в одном есть, в другом нет, но мне от этого не легче.
Как заставить их сихнронизироваться?
Как(Где) ещё посмотреть, что им двоим не нравится?

За ранее, спасибо!

Ссылка

←	Roundcube c уведомлением?

Kerberos, LDAP, PAM (Все на Linux)

→

Создаю пользователя на DC2, на DC1 - фигу, не виден.

А если после создания пользуна на DC1 запустить синхронизацию каталога? что-то типа этой команды:

repadmin /syncall

И вообще,нужен dcdiag с рабочего КД АД

Aborigen1020 ★
(27.06.19 13:13:21 MSK)
Последнее исправление: Aborigen1020 27.06.19 13:14:44 MSK (всего исправлений: 1)

Ответ на: комментарий от Aborigen1020 27.06.19 13:13:21 MSK

Все процедуры на DC1 (Win2003).

>repadmin /syncall 

CALLBACK MESSAGE: Error contacting server 510775fd-9e4b-41d6-8ba1-4324274a9dc2._msdcs.mydom.lan (network error): 1728 (0x6c0):
    Ошибка протокола удаленного вызова процедур (RPC).
CALLBACK MESSAGE: SyncAll Finished.

SyncAll reported the following errors:
Error contacting server 510775fd-9e4b-41d6-8ba1-4324274a9dc2._msdcs.mydom.lan (network error): 1728 (0x6c0):
    Ошибка протокола удаленного вызова процедур (RPC).

В тоже время:

>nslookup -type=CNAME 510775fd-9e4b-41d6-8ba1-4324274a9dc2._msdcs.mydom.lan

Server:  localhost
Address:  127.0.0.1

510775fd-9e4b-41d6-8ba1-4324274a9dc2._msdcs.mydom.lan     canonical name = dc2.mydom.lan

>ping dc2

Обмен пакетами с dc2.mydom.lan [192.168.10.216] с 32 байт данных:

Ответ от 192.168.10.216: число байт=32 время<1мс TTL=64
Ответ от 192.168.10.216: число байт=32 время<1мс TTL=64
Ответ от 192.168.10.216: число байт=32 время<1мс TTL=64
Ответ от 192.168.10.216: число байт=32 время<1мс TTL=64

Статистика Ping для 192.168.10.216:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек


>sc query RpcSs

Имя_службы: RpcSs
        Тип                : 10  WIN32_OWN_PROCESS
        Состояние          : 4  RUNNING

>sc query RpcLocator

Имя_службы: RpcLocator
        Тип                : 10  WIN32_OWN_PROCESS
        Состояние          : 4  RUNNING

Ничё не понимаю! (с) «Следствие ведут колобки».
Всё работает, а репликация нет. :(

Slawik
(28.06.19 13:22:41 MSK) автор топика

Ответ на: комментарий от Slawik 28.06.19 13:22:41 MSK

На втором КД, который на самбе, посмотрите в dns-зонах, есть ли зоны с названием

_sites.domain, _msdcs.domain, tcp.domain, udp.domain, DomainDnsZones.domain

? без них репликации не будет никакой

Если их нет, то нужно будет создавать, у меня есть пример тут один, но далековато и неструктурированый

Aborigen1020 ★
(28.06.19 13:54:47 MSK)
Последнее исправление: Aborigen1020 28.06.19 13:56:52 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Slawik 28.06.19 13:22:41 MSK

Ничё не понимаю!

dcdiag что говорит?

Serge10 ★★★★★
(28.06.19 14:38:36 MSK)

Ссылка

Ребята, огроменное вам спасибо !!!


>dcdiag /E

The account DC1 is not a DC account.  It cannot replicate.
  Warning:  Attribute userAccountControl of DC1 is: 0x80200 = ( UF_NORMAL_ACCOUNT | UF_TRUSTED_FOR_DELEGATION )
  Typical setting for a DC is 0x82000 = (UF_SERVER_TRUST_ACCOUNT | UF_TRUSTED_FOR_DELEGATION )

в ADSI Edit поправил соответствующий атрибут и репликация пошла! :)

Slawik
(01.07.19 19:47:52 MSK) автор топика

Ссылка

12 августа 2019 г.

И снова, здравствуйте! :)

Решился отдать бразды правления самбе и окончательно вырубить сервер с Win2003.
Все 7 ролей передались без проблем. DC2 (samba) стал хозяином всех ролей.

# samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydom,DC=lan
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydom,DC=lan
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydom,DC=lan
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydom,DC=lan
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydom,DC=lan
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydom,DC=lan
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydom,DC=lan

Проверяю в RSAT и пользователей и DNS - всех видать, всё синхронизируется, оснастки подключаются к обоим КД.
Вырубаю win2003 (физически), и понеслось...

После перезагрузки ни один комп не может войти в систему, то «Пользователь не найден», то «Не хватает системных ресурсов.» При повторном вводе в домен (или идентификации) компьютеры в домен входят (идентифицируются), но при вводе логин/пароль доменного пользователя (хоть админа, хоть кого) - фигу, те же сообщения.
Файловый сервер (то же на samba) перестаёт видеть пользователей/группы домена по
«getent passwd» и
«getent group».
Хотя,
«wbinfo -u»,
«wbinfo -g»,
«wbinfo -t»
отрабатывают на «ура».

На других серверах, программы, использующие для аутентификации LDAP на DC2, как работали, так и работают без проблем.

Включаю Win2003, проходит какое-то время (около 30 минут), идентифицирую компьютеры в домене (включая файловый сервер), всё работает! И шары, и входы.

Чего я не доделал?

Slawik
(12.08.19 14:13:12 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Roundcube c уведомлением?

Admin

Kerberos, LDAP, PAM (Все на Linux)

→

Похожие темы